Zitat:

c:\windows\system32\roboot.exe

Bitte diese Datei bei uns mal hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Jetzt weiß ich wo das Teil herkommt, das ist vom RegistryReviver! Wieso hast du dir dieses Stück Müll installiert??

Zitat:

c:\users\Benedikt\AppData\Roaming\Reviversoft

Deinstallier das bitte umgehend.

Die Software hab ich bereits deinstalliert, aber ich kann die .EXE vorsichtshalber auch nochmal löschen.

Ehe ich mich hier an professionelle Hilfe gewandt habe, hatte ich im Internet recherchiert und irgendwo war dort dieses Reviversoft empfohlen worden, um den Virus los zu werden. Hat allerdings natürlich nicht geholfen...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hier die Logs. Scheinbar wurde was gefunden.

OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:24:06 on 29.07.2011

OS: Windows 7  Service Pack 1 (Build 7601), 32-bit
Default Browser: Mozilla Corporation Firefox 5.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - sdnclean.exe  (File not found)

[Common]
-----( %SystemRoot%\Tasks )-----
"McDefragTask.job" - "McAfee, Inc." - c:\PROGRA~1\mcafee\mqc\QcConsol.exe
"McQcTask.job" - "McAfee, Inc." - c:\PROGRA~1\mcafee\mqc\QcConsol.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\Users\Benedikt\AppData\Local\Temp\catchme.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\Windows\System32\Drivers\ElbyCDIO.sys
"McAfee Inc. mfeavfk" (mfeavfk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfeavfk.sys
"McAfee Inc. mfebopk" (mfebopk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfebopk.sys
"McAfee Inc. mfehidk" (mfehidk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfehidk.sys
"McAfee Inc. mferkdk" (mferkdk) - "McAfee, Inc." - C:\Windows\System32\drivers\mferkdk.sys
"McAfee Inc. mfesmfk" (mfesmfk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfesmfk.sys
"pxdoikow" (pxdoikow) - ? - C:\Users\Benedikt\AppData\Local\Temp\pxdoikow.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"WsAudio_DeviceS(1)" (WsAudio_DeviceS(1)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(1).sys
"WsAudio_DeviceS(2)" (WsAudio_DeviceS(2)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(2).sys
"WsAudio_DeviceS(3)" (WsAudio_DeviceS(3)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(3).sys
"WsAudio_DeviceS(4)" (WsAudio_DeviceS(4)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(4).sys
"WsAudio_DeviceS(5)" (WsAudio_DeviceS(5)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(5).sys

[Explorer]
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{472734EA-242A-422b-ADF8-83D1E48CC825} "{472734EA-242A-422b-ADF8-83D1E48CC825}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab
{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_25.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "{7530BFB8-7293-4D34-9923-61A11451AFC5}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.eset.com/special/eos/OnlineScanner.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
"ICQ7.5" - "ICQ, LLC." - C:\Program Files\ICQ7.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{7DB2D5A0-7241-4E79-B68D-6309F01C5231} "scriptproxy" - ? - C:\Program Files\McAfee\VirusScan\scriptsn.dll  (File not found)
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"ServerReg.lnk" - ? - C:\Users\Benedikt\Desktop\ServerReg.bat  (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"phase-6 Reminder.lnk" - "phase-6" - C:\Program Files\phase-6\phase-6\reminder\reminder.exe  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Bonus.SSR.FR10" - "ABBYY." - "C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" /autorun
"Eraser" - "The Eraser Project" - "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart
"GrooveMonitor" - "Microsoft Corporation" - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"
"Malwarebytes' Anti-Malware (reboot)" - ? - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript  (File not found)
"mcagent_exe" - ? - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey  (File not found)
"NapsterShell" - "Napster" - C:\Program Files\Napster\napster.exe /systray
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ABBYY FineReader 10 PE Licensing Service" (ABBYY.Licensing.FineReader.Professional.10.0) - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"McAfee Network Agent" (McNASvc) - ? - "c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe"  (File not found)
"McAfee Personal Firewall Service" (MpfService) - ? - "C:\Program Files\McAfee\MPF\MPFSrv.exe"  (File not found)
"McAfee Proxy Service" (McProxy) - ? - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe  (File not found)
"McAfee Real-time Scanner" (McShield) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe  (File not found)
"McAfee Scanner" (McODS) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe  (File not found)
"McAfee Services" (mcmscsvc) - ? - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe  (File not found)
"McAfee SystemGuards" (McSysmon) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe  (File not found)
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe
"NVIDIA Update Service Daemon" (nvUpdatusService) - "NVIDIA Corporation" - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Zitat:

c:\windows\system32\pmsplr.dll

Anscheinend ist mir diese Datei durch die Lappen gegangen. Bitte bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Versuch die Date danach manuell zu löschen.

Hallo,

irgendwie kriege ich die Datei nicht zu fassen, um sie hochzuladen. Ich habe alle Einstellungen beachtet (Dateien und Ordner auf sichtbar stellen...), aber dennock komm ich nicht an die Datei ran. Wenn ich den Dateipfad angeben, um die Datei hochzuladen kommt die Mitteilung dass ich Admin Rechte benötige, die ich da allerdings nicht zuweisen kann.
Wenn ich die Datei im Ordner suche wird sie nicht angezeigt und auch nicht gefunden...

Nur wenn ich den Dateipfad verwende oder die allgemeine Suche nutze wird sie mir angezeigt. Das hilft mir beim hochladen allerdings nichts...

Kann ich die Datei einfach löschen oder ist es sehr wichtig, dass ich sie erst hochlade?

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\pmsplr.dll
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\pmsplr.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hxxp://www.file-upload.net/download-3633062/backup.zip.html

Die gelöschte Datei ist dort nicht drin. Ich vermute, der Virenscanner hat da den Avenger irgendwie beeinflusst.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo, ich habe jetzt alle drei Scanprogramme durchlaufen lassen. Hier sind die Logs.

Da ich den Log nicht hochladen kann auf diese Weise:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/04/2011 at 01:20 AM

Application Version : 5.0.1108

Core Rules Database Version : 7506
Trace Rules Database Version: 5318

Scan type : Complete Scan
Total Scan Time : 02:17:47

Operating System Information
Windows 7 Professional 32-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned : 710
Memory threats detected : 0
Registry items scanned : 40234
Registry threats detected : 0
File items scanned : 134528
File threats detected : 28

Adware.Tracking Cookie
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@112.2o7[2].txt
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@2o7[2].txt
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@doubleclick[2].txt
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD.YIELDMANAGER[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD1.ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD3.ADFARM1.ADITION[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD3.ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADFARM1.ADITION[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADVERTISE[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@APMEBF[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ATDMT[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CLICK.XMLMONETIZE[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CLICKSOR[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CONTENT.YIELDMANAGER[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CONTENT.YIELDMANAGER[3].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@IMRWORLDWIDE[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@INVITEMEDIA[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@INVITEMEDIA[3].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIA6DEGREES[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIABRANDSWW[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIAPLEX[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MYROITRACKING[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@RU4[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@RU4[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@WEBMASTERPLAN[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@WWW.ZANOX-AFFILIATE[2].TXT

Trojan.Agent/Gen-Falcomp[RE]
C:\AVENGER\PMSPLR.DLL

Ein Fehlalarm von Malwarebytes, sonst nur Cookies und ein Überrest => C:\AVENGER\PMSPLR.DLL
Diese Datei hatte ich eigentlich im backup.zip vom Avenger erwartet aber gut, kannste löschen.

Rechner ansonsten wieder im Lot?